Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel geven we een overzicht van Azure Container Linux (ACL), een onveranderbaar, containergeoptimeerd besturingssysteem (OS) voor Azure Kubernetes Service (AKS). ACL is afgeleid van het Flatcar Container Linux-project en bouwt voort op het beproefde, containergerichte immutabele ontwerp van Flatcar, met toevoeging van Azure Linux-pakketten, service en platformintegratie. Hierdoor kan ACL nauw worden afgestemd op upstream Flatcar-innovatie, terwijl aan de productie-, beveiligings- en nalevingsvereisten van Azure wordt voldaan. Zie de Flatcar-documentatie voor meer informatie over Flatcar Container Linux.
ACL is algemeen beschikbaar (GA) als besturingssysteemoptie voor AKS vanaf AKS v1.34. U kunt ACL-knooppuntgroepen implementeren in een nieuw AKS-cluster of ACL-knooppuntgroepen toevoegen aan uw bestaande clusters.
Opmerking
ACL is de GA-release van Flatcar Container Linux voor AKS, die in november 2025 openbare preview heeft ingevoerd. OS Guard-functies (preview) zoals code-integriteit met IPE (Integrity Policy Enforcement) worden in een toekomstige release opgenomen in ACL, waarna OS Guard (preview) buiten gebruik wordt gesteld. Als u momenteel OS Guard-functies nodig hebt, raden we u aan OS Guard te blijven gebruiken en te migreren naar ACL zodra deze functies beschikbaar zijn.
Voordelen van het gebruik van ACL op AKS
| Benefit | Description |
|---|---|
| Ingebouwde onveranderbaarheid voor sterkere beveiliging | De door de kernel afgedwongen onwijzigbaarheid van de map /usr verifieert de integriteit van de OS-image tijdens het opstarten en tijdens runtime. Dit ontwerp helpt onbevoegde wijzigingen te blokkeren voordat ze van invloed kunnen zijn op uw cluster en vermindert het risico op manipulatie op besturingssysteemniveau. |
| Minimale kwetsbaarheid voor aanvallen | ACL levert alleen de onderdelen die nodig zijn om containers uit te voeren. Door de grootte en complexiteit van het besturingssysteem te verminderen, minimaliseert ACL het aantal pakketten, services en mogelijke toegangspunten die beschikbaar zijn voor aanvallers en vereenvoudigt het beveiligingsbeheer. |
| Geautomatiseerde updates van node-installatiekopieën | ACL levert wekelijkse updates op basis van installatiekopieën die de meest recente beveiligingspatches en bugfixes bevatten. Deze aanpak zorgt ervoor dat versies van knooppuntbesturingssystemen consistent en actueel zijn in het cluster en helpt de blootstelling aan bekende beveiligingsproblemen te verminderen. |
| Vertrouwen in supply chain | Bouwt voort op de ondertekende pakketten en supplychainprocessen van Azure Linux, en levert duidelijke herkomstinformatie voor systeemonderdelen. |
| Integratie met Azure-beveiligingsfuncties | Systeemeigen ondersteuning voor Trusted Launch en Secure Boot biedt gemeten opstartbeveiligingen en attestation. |
| Opensource-transparantie | Flatcar en veel van de onderliggende technologieën (dm-verity en SELinux) zijn upstream of open source, en Microsoft heeft hulpprogramma's en bijdragen om deze functies te ondersteunen. |
Belangrijkste functies van ACL
De volgende belangrijke functies onderscheiden ACL als een beveiligd, containergeoptimeerd besturingssysteem voor AKS:
- Onveranderbaarheid: de map '/usr' wordt gekoppeld als een alleen-lezen volume dat wordt beveiligd door dm-verity. Tijdens runtime valideert de kernel een ondertekende root-hash om manipulatie te detecteren en te blokkeren
- Verplicht toegangsbeheer met SELinux: ACL omvat SELinux om verplicht toegangsbeheerbeleid af te dwingen waarmee wordt beperkt welke processen toegang hebben tot gevoelige systeembronnen. SELinux staat standaard in enforcing-modus.
- Vertrouwd opstarten en beveiligd opstarten: ACL vereist vertrouwde start met beveiligd opstarten en vTPM, om de integriteit van de opstartketen te garanderen voordat het besturingssysteem wordt geladen. Dit wordt bereikt met behulp van een Unified Kernel Image (UKI), die de kernel, initramfs en kernel-opdrachtregel bundelt in één ondertekend artefact. Tijdens het opstarten wordt de UKI gemeten en vastgelegd in de vTPM, waardoor de integriteit vanaf het allereerste begin wordt gegarandeerd.
- Ondersteuning voor NVIDIA GPU-knooppunten: ACL ondersteunt knooppuntgroepen met NVIDIA GPU-functionaliteit op AMD64-architecturen, zodat u high-performance computing (HPC) en AI/ML-workloads op AKS kunt uitvoeren met een beveiligd, containergeoptimeerd besturingssysteem. ACL biedt geen ondersteuning voor ARM64-architecturen voor knooppuntgroepen met GPU-functionaliteit.
- Ondersteuning voor AMD64- en ARM64-architectuur: ACL is beschikbaar voor zowel AMD64- als ARM64-architecturen op AKS.
- Sovereign Supply Chain Security: ACL neemt Azure beveiligde build-pijplijnen en ondertekende Unified Kernel Images (UKIs) over.
- Automatische inrichting van knooppunten: ACL biedt ondersteuning voor automatisch inrichten van knooppunten (NAP).
Niet-ondersteunde functies
ACL biedt momenteel geen ondersteuning voor de volgende functies:
- De
SecurityPatchenUnmanagedupgradekanalen van het besturingssysteem van knooppunten. - VM's van de eerste generatie: u kunt geen VM-grootten gebruiken die alleen ondersteuning bieden voor generatie 1 met ACL.
- Pod Sandboxing.
- Een variant zonder Trusted Launch. ACL vereist vertrouwde start.
Als uw bestaande cluster gebruikmaakt van een van de niet-ondersteunde functies, kunt u mogelijk geen ACL-knooppuntgroep toevoegen aan dat cluster.
Functieoverzicht
Azure Linux publiceert een roadmap voor feature die functies bevat die in ontwikkeling zijn en beschikbaar zijn voor algemene beschikbaarheid (GA) en openbare preview.
Migraties en upgrades van het besturingssysteem met ACL
AKS ondersteunt het migreren van bestaande knooppuntgroepen naar ACL met behulp van in-place SKU-migratie van het besturingssysteem of door nieuwe ACL-knooppuntgroepen te maken. Zie Bestaande knooppunten migreren naar ACL voor gedetailleerde migratiestappen, overwegingen en terugdraaiinstructies.
ACL voor AKS-versiebeheer
ACL voor AKS brengt wekelijks AKS-knooppuntimages uit. Het versiebeheer volgt het datumbased formaat van AKS (bijvoorbeeld: 202506.13.0). ACL ondersteunt momenteel alleen volledige updates van node-images.
U kunt beschikbare node-images bekijken in de releaseopmerkingen en de nodeImageVersion voor een draaiend cluster weergeven met de opdracht az aks nodepool list. Voorbeeld:
az aks nodepool list --resource-group <resource-group-name> --cluster-name <aks-cluster-name> --query '[].{name: name, nodeImageVersion: nodeImageVersion}'
Voorbeelduitvoer:
[
{
"name": "nodes",
"nodeImageVersion": "AKSAzureContainerLinux-202606.01.0"
}
]
Verwante inhoud
Zie de volgende bronnen om aan de slag te gaan met ACL voor AKS: